Oppdage og blokkere potensielt uønskede programmer

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender for endepunkt plan 1 og plan 2
• Microsoft Defender for Business
• Microsoft Edge
• Microsoft Defender for enkeltpersoner
• Microsoft Defender Antivirus

Plattformer

• Windows

Microsoft Defender Antivirus er tilgjengelig i følgende versjoner/versjoner av Windows og Windows Server:

• Windows Server 2022
• Windows Server 2019
• Windows Server, versjon 1803 eller nyere
• Windows Server 2016
• Windows Server 2012 R2 (krever Microsoft Defender for endepunkt)
• Windows 11
• Windows 10
• Windows 8.1

For macOS kan du se Oppdage og blokkere potensielt uønskede programmer med Defender for Endpoint på macOS.

For Linux kan du se Oppdage og blokkere potensielt uønskede programmer med Defender for Endpoint på Linux.

Potensielt uønskede programmer (PUA) er en kategori med programvare som kan føre til at maskinen kjører sakte, viser uventede annonser eller i verste fall installerer annen programvare som kan være uventet eller uønsket. PUA regnes ikke som et virus, skadelig programvare eller en annen type trussel, men det kan utføre handlinger på endepunkter som har negativ innvirkning på endepunktytelsen eller bruken. Begrepet PUA kan også referere til et program som har et dårlig omdømme, som vurdert av Microsoft Defender for endepunkt, på grunn av visse typer uønsket atferd.

Her er noen eksempler:

• Reklameprogramvare som viser annonser eller kampanjer, inkludert programvare som setter inn annonser på nettsider.
• Bunting av programvare som tilbyr å installere annen programvare som ikke er digitalt signert av samme enhet. Programvare som tilbyr seg å installere annen programvare som kvalifiserer som PUA.
• Unndragelse programvare som aktivt prøver å unngå deteksjon av sikkerhetsprodukter, inkludert programvare som oppfører seg annerledes i nærvær av sikkerhetsprodukter.

Tips

Hvis du vil ha flere eksempler og en diskusjon om kriteriene vi bruker til å merke programmer for spesiell oppmerksomhet fra sikkerhetsfunksjoner, kan du se Hvordan Microsoft identifiserer skadelig programvare og potensielt uønskede programmer.

Potensielt uønskede programmer kan øke risikoen for at nettverket blir infisert med faktisk skadelig programvare, gjøre det vanskeligere å identifisere skadelig programvare eller koste IT- og sikkerhetsteamene tid og krefter på å rydde dem opp. Hvis organisasjonens abonnement omfatter Microsoft Defender for endepunkt, kan du også angi Microsoft Defender Antivirus PUA til å blokkere, for å blokkere apper som anses å være PUA på Windows-enheter.

Mer informasjon om Windows Enterprise-abonnementer.

Tips

Som en følgesvenn til denne artikkelen, kan du se vår Microsoft Defender for endepunkt installasjonsveiledning for å gjennomgå anbefalte fremgangsmåter og lære om viktige verktøy som reduksjon av angrepsoverflate og neste generasjons beskyttelse. Hvis du vil ha en tilpasset opplevelse basert på miljøet ditt, kan du få tilgang til den automatiserte installasjonsveiledningen for Defender for Endpoint i Administrasjonssenter for Microsoft 365.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-basert, blokkerer potensielt uønskede programnedlastinger og tilknyttede nettadresser for ressurser. Denne funksjonen leveres via Microsoft Defender SmartScreen.

Aktiver PUA-beskyttelse i Chromium-baserte Microsoft Edge

Selv om potensielt uønsket programbeskyttelse i Microsoft Edge (Chromium-basert, versjon 80.0.361.50) er deaktivert som standard, kan den enkelt aktiveres fra nettleseren.

1. Velg ellipsen i Microsoft Edge-nettleseren, og velg deretter Innstillinger.

2. Velg Personvern, søk og tjenester.

3. Under Sikkerhets-delen aktiverer du Blokker potensielt uønskede apper.

Tips

Hvis du kjører Microsoft Edge (Chromium-basert), kan du trygt utforske funksjonen for nettadresseblokkering av PUA-beskyttelse ved å teste den ut på en av våre Microsoft Defender SmartScreen-demonstrasjonssider.

Blokkere nettadresser med Microsoft Defender SmartScreen

I Chromium-baserte Microsoft Edge med PUA-beskyttelse aktivert, beskytter Microsoft Defender SmartScreen deg mot PUA-tilknyttede nettadresser.

Sikkerhetsadministratorer kan konfigurere hvordan Microsoft Edge og Microsoft Defender SmartScreen fungerer sammen for å beskytte grupper av brukere fra PUA-tilknyttede nettadresser. Det finnes flere gruppepolicyinnstillinger eksplisitt for Microsoft Defender SmartScreen tilgjengelig, inkludert én for blokkering av PUA. I tillegg kan administratorer konfigurere Microsoft Defender SmartScreen som helhet, ved hjelp av gruppepolicyinnstillinger for å slå Microsoft Defender SmartScreen på eller av.

Selv om Microsoft Defender for endepunkt har sin egen blokkliste basert på et datasett som administreres av Microsoft, kan du tilpasse denne listen basert på din egen trusselintelligens. Hvis du oppretter og administrerer indikatorer i Microsoft Defender for endepunkt-portalen, respekterer Microsoft Defender SmartScreen de nye innstillingene.

Microsoft Defender Antivirus- og PUA-beskyttelse

Den potensielt uønskede programbeskyttelsesfunksjonen (PUA) i Microsoft Defender Antivirus kan oppdage og blokkere PUA på endepunkter i nettverket.

Microsoft Defender antivirusblokker oppdaget PUA-filer og eventuelle forsøk på å laste ned, flytte, kjøre eller installere dem. Blokkerte PUA-filer flyttes deretter til karantene. Når en PUA-fil oppdages på et endepunkt, sender Microsoft Defender Antivirus et varsel til brukeren (med mindre varsler er deaktivert i samme format som andre trusselregistreringer. Varselet er innledet med PUA: for å angi innholdet.

Varselet vises i den vanlige karantenelisten i Windows Sikkerhet-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med Microsoft Defender for endepunkt Security Settings Management, Microsoft Intune, Microsoft Configuration Manager, gruppepolicy eller via PowerShell cmdleter.

Prøv først å bruke PUA-beskyttelse i overvåkingsmodus. Den oppdager potensielt uønskede programmer uten å blokkere dem. Gjenkjenninger fanges opp i hendelsesloggen i Windows. PUA-beskyttelse i overvåkingsmodus er nyttig hvis firmaet utfører en intern samsvarskontroll for programvaresikkerhet, og det er viktig å unngå falske positiver.

Bruk Microsoft Defender for endepunkt Security Settings Management til å konfigurere PUA-beskyttelse

Se følgende artikler:

• Bruke Microsoft Defender for endepunkt Security Settings Management til å administrere Microsoft Defender Antivirus

Bruk Intune til å konfigurere PUA-beskyttelse

Se følgende artikler:

• Konfigurer innstillinger for enhetsbegrensning i Microsoft Intune
• Microsoft Defender begrensningsinnstillinger for antivirusenheter for Windows 10 i Intune

Bruk Configuration Manager til å konfigurere PUA-beskyttelse

PUA-beskyttelse er aktivert som standard i Microsoft Configuration Manager (Current Branch).

Se hvordan du oppretter og distribuerer policyer for beskyttelse mot skadelig programvare: Planlagte skanningsinnstillinger for mer informasjon om hvordan du konfigurerer Microsoft Configuration Manager (Current Branch).

For System Center 2012 Configuration Manager kan du se Hvordan du distribuerer potensielt uønskede policyer for programbeskyttelse for endepunktbeskyttelse i Configuration Manager.

Obs!

PUA-hendelser som blokkeres av Microsoft Defender Antivirus, rapporteres i Windows Hendelsesliste og ikke i Microsoft Configuration Manager.

Bruk gruppepolicy til å konfigurere PUA-beskyttelse

1. Last ned og installer de nyeste administrative malene for Windows 11

2. Åpne administrasjonskonsollen for gruppepolicy på gruppepolicy-administrasjonsdatamaskinen.

3. Velg gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

4. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

5. Utvid treet til Windows-komponenter>Microsoft Defender Antivirus.

6. Dobbeltklikk konfigurer gjenkjenning for potensielt uønskede programmer, og sett den til Aktivert.

7. Velg Blokker i Alternativer for å blokkere potensielt uønskede programmer, eller velg Overvåkingsmodus for å teste hvordan innstillingen fungerer i miljøet. Velg OK.

8. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Bruk PowerShell-cmdleter til å konfigurere PUA-beskyttelse

Slik aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Hvis du angir verdien for denne cmdleten, Enabled aktiveres funksjonen hvis den er deaktivert.

Slik angir du PUA-beskyttelse til overvåkingsmodus

Set-MpPreference -PUAProtection AuditMode

Innstilling AuditMode oppdager PUAer uten å blokkere dem.

Slik deaktiverer du PUA-beskyttelse

Vi anbefaler at PUA-beskyttelsen er aktivert. Du kan imidlertid deaktivere den ved hjelp av følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angir verdien for denne cmdleten, Disabled deaktiveres funksjonen hvis den er aktivert.

Hvis du vil ha mer informasjon, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender antivirus- og Defender Antivirus cmdleter.

Test og kontroller at PUA-blokkering fungerer

Når du har pua aktivert i blokkmodus, kan du teste for å sikre at den fungerer som den skal. Hvis du vil ha mer informasjon, kan du se potensielt uønskede programmer (PUA)-demonstrasjon.

Vis PUA-hendelser ved hjelp av PowerShell

PUA-hendelser rapporteres i Windows Hendelsesliste, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruke cmdleten Get-MpThreat til å vise trusler som Microsoft Defender Antivirus håndteres. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få e-postvarsler om PUA-gjenkjenninger

Du kan aktivere e-postvarsler for å motta e-post om PUA-gjenkjenninger. Hvis du vil ha mer informasjon om Microsoft Defender antivirushendelser, kan du se Feilsøke hendelses-ID-er. PUA-hendelser registreres under hendelses-ID 1160.

Vis PUA-hendelser ved hjelp av avansert jakt

Hvis du bruker Microsoft Defender for endepunkt, kan du bruke en avansert jaktspørring til å vise PUA-hendelser. Her er en eksempelspørring:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Hvis du vil lære mer om avansert jakt, kan du se Proaktivt jakte på trusler med avansert jakt.

Utelat filer fra PUA-beskyttelse

Noen ganger blokkeres en fil feilaktig av PUA-beskyttelse, eller en funksjon i en PUA kreves for å fullføre en oppgave. I slike tilfeller kan en fil legges til i en utelatelsesliste.

Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser basert på filtype og mappeplassering.

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

• Microsoft Defender for endepunkt på Mac
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Se også

• Neste generasjons beskyttelse
• Konfigurer atferdsmessig, heuristikk og sanntidsbeskyttelse

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.